보안

VPN은 죽어가고, 제로 트러스트가 살아난다

Neal Weinberg | Network World 2019.12.09
VPN은 유서 깊은 기술이다. 수십 년 동안 원격지 작업자에게 기업 네트워크로의 안전한 통로를 제공했다. 그러나 기업들이 제로 트러스트라고 불리는 보다 기민하고 미시적인 보안 프레임워크로 이동함에 따라 VPN이 쇠락하고 있다. 오늘날의 디지털 비즈니스 세계에서는 제로 트러스트가 더 적합한 기술이다. 
 
VPN은 네트워크 경계라는 개념을 근거로 하는 보안 기법이다. 신뢰할 만한 직원이 내부에 있고, 신뢰할 수 없는 직원이 외부에 있음을 전제한다. 그러나 이 모델은 직원이 모바일 기기를 가지고 다양한 내부 또는 외부 장소로부터 네트워크에 접속하는 현재의 비즈니스 환경에 맞지 않다. 또한 기업 자산은 기업 데이터센터 안이 아니라 멀티 클라우드 환경에 존재한다. 

가트너는 2023년까지 60%의 기업이 VPN으로부터 점진적으로 탈피해 제로 트러스트 네트워크 접속으로 이동할 것이라고 예측하고 있다. 제로 트러스트는 기기와 이용자를 동시에 인증하는 관문 또는 중개자로서 기능한다. 이후 사용자는 역할과 맥락에 따라 접근할 수 있다. 

경계 보안 접근법은 결함이 많다. 이는 내부자 공격에 대처하지 않는다. 협력업체, 외부자, 공급망 협력업체를 식별하는데 서툴다. 공격자는 누군가의 VPN 인증 정보를 훔치기만 하면 네트워크에 접속해 자유롭게 돌아다닐 수 있다. 

게다가, VPN은 시간이 가면서 복잡해지고 관리하기 어려워졌다. 아이오와 주 에임스에 소재한 기업 보안 회사인 워키바(Workiva)의 수석 보안 아키텍트인 매트 설리반은 “VPN은 상당히 고통스럽다”면서 “투박하고 시대에 뒤떨어졌고, 관리할 것도 많다. 그리고 솔직히, 좀 위험하다”라고 말했다. 

오늘날의 기업 보안 현실을 아는 사람은 이 접근법의 효과가 거의 없다는 것을 안다. 포레스터의 수석 애널리스트인 체이스 커닝험은 “경계 기반 보안 모델은 간단히 말해 실패했다”면서 “노력이 부족하다거나 투자가 부족한 것이 아니라, 단지 부실한 기반 위에 구축되었기 때문이다. 하나가 무너지면 모든 것이 위험해진다. 이는 누구나 아는 사실이다”라고 말했다. 

반면 제로-트러스트 프레임워크의 개념은 단순하다. 즉, 아무도 신뢰하지 않는 것이다. 모든 사람을 검증한다. 직원의 접근을 업무에 필요한 자원으로 한정하고 그 이상을 허용하지 않는 엄격한 액세스-제어 및 신원 관리 정책을 강제한다. 

451그룹의 수석 애널리스트인 개럿 베커에 따르면 제로 트러스트는 제품이 아니라 기술이고, 보안에 대한 다른 사고 방식이다. 베커는 “사람들은 아직도 이게 무엇을 의미하는지 정확히 모른다. 사람들은 혼란스러워 하고, 판매업체는 제로 트러스트의 의미에 대해 일관성이 없다. 그러나 이는 보안 관행을 급격히 변화시킬 잠재력이 있다”라고 말했다. 


보안 업계, 제로 트러스트를 수용하다
제로 트러스트 프레임워크는 나온 지 10년이 되었고, 상당한 관심을 받아왔지만 정작 제대로 도입되기 시작한 것은 1~2년밖에 되지 않았다. 451그룹의 최근 설문조사에 따르면 불과 13% 정도의 기업만이 제로 트러스트의 길을 걷기 시작했다. 판매업체들이 늦장을 부렸다는 것이 한가지 중요한 이유이다. 

제로 트러스트의 갑작스러운 부각은 20014년으로 거슬러 올라간다. 구글이 비욘드코프 구상(BeyondCorp initiative)을 발표한 해이다. 구글은 제로-트러스트 시스템을 구축하는데 크게 투자한 것으로 전해졌다. 그러나 기업들은 이를 따르지 않았다. 그들은 구글이 아니었기 때문이다. 

그러나 제로 트러스트는 현재 탄력을 받고 있다. 커닝험은 “이제야 눈에 띄기 시작했다”면서 “5 ~7년 전에는 이 접근법을 구현할만한 능력이 없었다. 이제는 가능해졌다”라고 말했다. 

오늘날, 판매업체들은 다각적으로 제로 트러스트를 내세우고 있다. 예를 들어, 최근의 ‘포레스터 웨이브 : 제로-트러스트 엑스텐디드 에코시스템’(Forrester Wave: zero-trust eXtended Ecosystem, ZTX) 보고서에는 차세대 방화벽 업체인 팔로 알토 네트웍스(Palo Alto Networks), 매니지드 서비스 공급자인 아카마이 테크놀로지스(Akamai Technologies), 신원 관리 사업자인 오크타(Okta), 보안 소프트웨어 선두 업체인 시만텍(Symantec), 마이크로 세그멘테이션 전문 업체인 일루미오(Illumio), 그리고 특별 권한 액세스 관리 사업자인 센트리파이(Centrify)가 이 생태계에 속한 업체로 이름을 올렸다. 

아울러, 시스코, 마이크로소프트, VM웨어 역시 저마다 제로-트러스트 상품을 내놓고 있다. 포레스터 웨이브에 따르면 시스코와 마이크로소프트는 유력 업체로 분류되고, VM웨어는 후발주자이다. 

그렇다면, 경계 방어를 구축하고 보강하는데 수백만 달러를 지출해온 기업이 어떻게 갑자기 진로를 바꾸고 있을까? 기업 본사에서 일하는 임원이든, 스타벅스에서 일하는 협력업체이든, 아무도 신뢰하지 않겠다는 모델을 어떻게 도입하고 있을까?

제로-트러스트 모델을 시작하는 법 
첫 번째의 가장 명확한 추천안은 작게 시작하는 것이다. 커닝험의 표현대로라면 “바다 전체가 아니라 한 주전자의 물만 끓여보는 것이다. 나라면, 판매 업체와 외부 업체를 다루는 것부터 시작할 것이다”라고 말했다. 다시 말해 네트워크의 다른 부분으로부터 이들을 격리할 방법을 찾는 것이다.

가트너의 애널리스트인 닐 맥도널드 역시 견해를 같이 한다. 그는 출현 중인 3가지 제로 트러스트 응용 분야를 다음과 같이 소개한다. 즉, 공급망 협력업체를 위한 신종 모바일 애플리케이션, 클라우드 마이그레이션 계획, 소프트웨어 개발자에 대한 접근 제어이다. 


데브옵스 및 IT 운영 팀에 대한 접근 제어는 설리반이 워크피아(Workpia)에서 구현했던 것이기도 하다. 워크피아의 IT 인프라는 전적으로 클라우드에 기반한다. 설리반은 이들 팀에게 특정 개발 및 스테이징 인스턴스로의 클라우드 접근을 제공하는 보다 효율적인 방법을 찾고 있었다. 그는 기존의 VPN 모델을 버렸고, 오크타가 최근 인수한 신생회사인 스케일FT의 제로-트러스트 접근 제어 모델을 선택했다. 

설리반은 이제 신입 직원이 노트북을 지급받을 때 해당 노트북은 관리자에 의해 명시적으로 권한을 부여 받아야 한다고 설명했다. 네트워크에 액세스하려면 적절한 신원 및 액세스 관리 정책이 배치된 중앙 게이트웨이로 접속해야 한다. 

설리반은 “제로 트러스트는 상당히 지체된 개념이다”면서 “앞으로 나아갈 방향임이 분명하지만, 기업 등급 솔루션이 나오기까지 거의 10년 동안의 갈망이 있었다”라고 말했다. 

네트워크 중심 또는 신원 중심 제로 트러스트 
베커는 업체들이 두 진영으로 수렴 중이라고 말했다. 즉, 네트워크 분할 및 애플리케이션-인식 방화벽에 보다 치중하는 네트워크 중심 진영, 그리고 네트워크 액세스 및 신원 관리에 의존하는 신원 중심 진영이다. 

네브라스카 오마하의 매니지드 서비스 공급업체인 FNTS의 CISO인 로버트 라마그나-리터는 네트워크 중심 쪽이다. 그는 팔로 알토의 제로-트러스트 보안 스택을 이용해 IT 인프라를 정비했다. 라마그나-리터는 2년 전 실질적으로 백지 상태에서 시작해 회사의 클라우드 서비스 플랫폼의 후속 이터레이션을 구축할 특별한 기회를 가졌다. 목적은 플랫폼을 멀티-클라우드 환경으로 확장하는 것이었다.

라마그나-리터는 “제로 트러스트에 의해 사람들이 일상적으로 하는 것을 보다 미시적으로 통제할 수 있었다”라며, 광범위한 기초 작업 덕분에 자신의 제로-트러스트 구상이 성공했다고 말했다. 기초 작업은 직원의 역할을 전체적으로 이해하고, 직원의 업무 수행에 필요한 자산과 애플리케이션을 파악하고, 네트워크 상의 직원 거동을 모니터링하는 것들이었다.

그는 제로 트러스트 시스템을 비핵심 지원 애플리케이션에서 제한적으로 시작한 이후 천천히 보강했다. 그러면서 회사의 비즈니스 리더들로부터 지지를 모았다. 그는 “사람들에게 기술이 아니라 사업 전략임을 보여주고 있다”라고 말했다. 

캐나다 온타리오의 에너지 유통회사인 엔테그러스(Entegrus) 역시 제로 트러스트를 추진하고 있지만, 상대적으로 네트워크 접근 제어에 치중하고 있다. 정비 및 수리 인력, 계량기 기술인력, 현장서비스 직원이 지리적으로 광범위하게 산포되어 있었고, 이들은 저마다 여러 기기를 휴대했다. 따라서 데이브 컬런은 방어해야 할 공격 표면이 넓다는 것을 알고 있었다. 

엔테그러스의 정보시스템 책임자인 컬런은 “회사의 네트워크를 다시 구축할 필요가 있었다”라며 회사의 네트워크 정비를 계기로 컬런은 제로-트러스트 노선을 추구하기 시작했다고 전했다. 그는 펄스시큐어(PulseSecure)와 협력해 제로-트러스트 기반의 원격 접근 및 네트워크 접근 제어 툴을 전개하기로 결정했다. 컬런은 직원의 네트워크 접속 시 정책을 적용할 수 있으려면, 제품들을 무결하게 결합하는 것이 지극히 중요했다고 말했다. 

컬런은 “천천히 도입했다”라고 표현했다. 현장에서 전개하기 전에 실험실 환경에서 파일럿과 조정을 거치는 단계적 접근법을 이용했다. 최우선 현안은 제로-트러스트 인프라가 직원들까지 무결하게 도달하는 것이었다. 

컬런은 “내게 있어, 제로 트러스트는 지능적인 사업 프로세스 및 데이터 흐름이고, 비즈니스에 불가결하다. 단순한 방화벽과 네트워크 분할이 아니다. 끊임없이 변하는 환경에 역동적으로 대응하는 것이다”라고 말했다. 

포레스터의 커닝험은 제로 트러스트로 전환하는데 따른 어려움이 없지 않음을 인정한다. 그러나 그는 “지금 약간 고생하면서 제대로 만들 것인지, 아니라면 오래도록 고통받다가 결국 큰 사고를 당할 것인지 선택하라”고 말했다. 

제로 트러스트: 미지를 향한 끝없는 여정 
제로 트러스트를 고려하는 사람이라면 2가지 핵심사항을 기억해야 한다. 첫째, 제로-트러스트 전개에 관한 전천후 안내서는 없다. 산업 표준도 판매 업체 협회도 없다. 최소한 아직까지는 그렇다. 대부분 스스로 알아서 해야 한다. 

커닝험은 “단일한 전략 같은 것은 없다. 방법은 수없이 많다. 저항을 최소화하고, 최대의 제어와 최대의 가시성을 얻으면 그만이다”라고 말했다. 

둘째, 여정은 절대로 끝나지 않는다. 라마그나-리터는 “완료 상태라는 것은 없다. 무엇을 성공이라고 정의할 것인지도 불분명하다”라고 진단하며, 제로 트러스트는 사업 환경의 변화에 대응하는 지속적인 과정이라고 강조했다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.